Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства. Ответственность за общее состояние и организацию работ по созданию и эксплуатации объекта информатизации возлагается на начальника Организации. Ответственность за обеспечение требований по защите информации, циркулирующей на объекте информатизации, возлагается на начальников структурных подразделений организации, эксплуатирующих объект информатизации.
2.9. Контроль выполнения требований настоящего Положения возлагается на начальника Организации.
2.10. Финансирование мероприятий по защите информации предусматривается сметами организации на планируемый год. При этом:
– расходы по защите информации при эксплуатации существующих помещений, технических систем и средств включаются в стоимость их содержания;
– затраты, связанные с защитой информации в создаваемых информационновычислительных и других технических системах, предусматриваются в стоимости создания и развития этих систем;
– расходы по защите информации при ремонте и реконструкции помещений предусматриваются в стоимости этих работ.
2.11. Настоящее положение не распространяется на ИСПДн, обрабатывающие ПДн, отнесенные в установленном порядке к сведениям, составляющим государственную тайну.
3.Классификация информационных систем персональных данных
3.1. Классификация ИСПДн в Организации осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн.
3.2. Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).
3.3. Состав, функциональное содержание методов и средств защиты зависит от вида и степени ущерба, возникающего вследствие реализации выявленных угроз безопасности ПДн. При этом ущерб возникает за счет неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения ПДн или от иных неправомерных действий с ними. В зависимости от объекта, причинение ущерба которому вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный.
3.4. Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:
– незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
– потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
– нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например – рассылка персонифицированных рекламных предложений и т.п.).
3.5. Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.
3.6. Классификация ИСПДн проводится комиссией, назначаемой начальником Организации, в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, и иными руководящими документами по защите ПДн.
3.7. Проведение классификации ИСПДн включает в себя следующие этапы:
– сбор и анализ исходных данных по ИСПДн;
– присвоение ИСПДн соответствующего класса и его документальное оформление.
3.8. При проведении классификации ИСПДн комиссией учитываются следующие исходные данные:
– категория обрабатываемых ПДн в ИСПДн;
– объем обрабатываемых ПДн (количество субъектов ПДн, ПДн которых обрабатываются в ИСПДн);
– заданные характеристики безопасности ПДн, обрабатываемых в ИСПДн;
– структура ИСПДн;
– наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
– режим обработки ПДн;
– режим разграничения прав доступа к ИСПДн;
– местонахождение технических средств ИСПДн.
3.9. В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
3.10. Результаты классификации ИСПДн оформляются актом, подписанными членами комиссии, и утверждается начальником Организации.
3.11. Класс ИСПДн может быть пересмотрен:
– на основе проведенных комиссией анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн;
– по результатам мероприятий по контролю и надзору уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
4. Основные цели и задачи защиты информации на объекте информатизации Организации
4.1. В соответствии с присвоенным классом ИСПДн и моделью угроз безопасности ПДн в Организации должен выполняться комплекс организационнотехнических мероприятий по защите информации, циркулирующей в помещениях, технических системах и средствах передачи, хранения и обработки информации.
4.2. Накопление, обработка, хранение и передача защищаемой информации в Организации происходит на объекте информатизации, который представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых» в соответствии с заданной информационной технологией, средств обеспечения, помещений, в которых они установлены, или помещений, предназначенных для ведения конфиденциальных переговоров.
К объекту информатизации в Организации относятся защищаемые, специальные помещения и средства вычислительной техники.
4.3. Целями защиты информации на объекте информатизации являются:
– предотвращение утечки информации по техническим каналам;
– предотвращение уничтожения, искажения, копирования, блокирования информации в системах информатизации за счет НСД к ней;
– соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах ее обработки;
– сохранение возможности управления процессом обработки и пользования информацией.
4.4. К основным задачам защиты информации на объекте информатизации относя гея задачи по предотвращению:
– несанкционированного доведения защищаемой информации до лиц, не имеющих права доступа к этой информации;
– получения защищаемой информации заинтересованным лицом с нарушением установленных прав или правил доступа к защищаемой информации;
– получения защищаемой информации разведкой с помощью технических средств;
– воздействия на защищаемую информацию с нарушением установленных прав или правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;
– воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств АС, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
4.5. Защита информации на объекте информатизации Организации достигается выполнением комплекса организационных мероприятий с применением сертифицированных средств защиты информации от утечки или воздействия на нее по техническим каналам путем НСД к ней, по предупреждению преднамеренных программно-технических воздействий, предпринятых с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.
5. Порядок определения защищаемой информации организации
5.1. К защищаемой информации Организации относится:
– информация, содержащая ПДн работников, клиентов, граждан;
– общедоступная информация, уничтожение, изменение, блокирование которой может нанести ущерб Организации.
5.2. По результатам анализа информации обрабатываемой в Организации составляются:
– «Список сотрудников, допущенных к обработке ПДн» (с указанием названия и вида обрабатываемого документа: бумажный, электронный);
– «Перечень информационных ресурсов, содержащих ПДн, подлежащих защите в АС».
5.3. Защищаемая информация Организации может быть представлена:
– на бумажных носителях в виде отдельных документов или дел с документами;
– на машинных носителях в виде файлов, массивов; баз данных, библиотек и пр.;
– в виде речевой информации, при проведении совещаний, переговоров и пр.
5.4. С целью определения технических средств и систем, с помощью которых
обрабатывается информация, содержащая ПДн, а также помещений, где проводятся обсуждения с использованием такой информации, отделом информационных технологий, отделом безопасности или администратором информационной безопасности Организации составляются и утверждаются перечни ТС ИСПДн, защищаемых и специальных помещений.
6. Технические каналы утечки защищаемой информации, циркулирующей на объекте информатизации Организации
6.1. Технический канал утечки информации (ТКУИ) представляет собой совокупность следующих факторов:
– источника информативного сигнала;
– физической среды его распространения;
– приемника, способного зарегистрировать данный сигнал.
6.2. При ведении переговоров и использовании технических средств для обработки и передачи информации на объекте информатизации Организации возможна реализация следующих ТКУИ:
– акустического излучения информативного речевого сигнала;
– электрических сигналов, возникающих при преобразовании информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям, выходящим за пределы КЗ;
– виброакустических сигналов, возникающих при преобразовании информативного акустического сигнала за счет воздействия его на строительные конструкции и инженерно-технические коммуникации защищаемого помещения;
– НСД к обрабатываемой в АС информации и несанкционированные действия с ней;
– воздействия на технические или программные средства ИС в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;
– ПЭМИН информативных сигналов от ТС ИСПДн и линий передачи информации;
– наводок информативного сигнала, обрабатываемого ТС ИСПДн, на цепи электропитания и линии связи, выходящие за пределы КЗ;
– радиоизлучений, модулированных информативным сигналом, возникающим при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;
– радиоизлучений или электрических сигналов от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации («закладочные устройства»), модулированных информативным сигналом;
– радиоизлучений или электрических сигналов от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
– просмотра информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;
– прослушивания телефонных и радиопереговоров;
– хищения технических средств с хранящейся в них информацией или носителей информации.
6.3. Перехват информации, циркулирующей на объекте информатизации, или воздействие на нее с использованием технических средств могут вестись:
– из-за границы КЗ из близлежащих строений и транспортных средств;
– из смежных помещений, принадлежащих другим организациям и расположенным в том же здании, что и объект информатизации;
– при посещении Организации посторонними лицами;
– за счет НСД к информации, циркулирующей в АС, как с помощью технических средств автоматизированной системы, так и через сети.
6.4. В качестве аппаратуры перехвата или воздействия на информацию и технические средства объекта информатизации могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации – «закладочные устройства», размещаемые внутри или вне защищаемого помещения.
6.5. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны, вследствие:
– непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемого помещения и его инженерно- технических систем;
– некомпетентных или ошибочных действий пользователей;
– непреднамеренного просмотра информации с экранов мониторов и пр.
6.6. Выявление и учет факторов, которые воздействуют или могут воздействовать на информацию, циркулирующую на объекте информатизации, проводятся в соответствии с «Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 15.02.2008, и составляют основу для планирования мероприятий, направленных на защиту информации на объекте информатизации.
7. Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
7.1. В целях осуществления технического обеспечения безопасности ПДн при их обработке в ИСПДн, в зависимости от класса ИСПДн в Организации реализовываются Следующие мероприятия:
– мероприятия по защите от НСД к ПДн при их обработке в ИСПДн;
– мероприятия по защите информации от утечки по техническим каналам.
7.2. Мероприятия по защите ПДн при их обработке в ИСПДн от НСД и неправомерных действий включают:
– управление доступом;
– регистрацию и учет;
– обеспечение целостности;
– контроль отсутствия НДВ;
– антивирусную защиту;
– обеспечение безопасного межсетевого взаимодействия ИСПДн;
– анализ защищенности;
– обнаружение вторжений.
7.3. Подсистему управления доступом, регистрации и учета необходимо реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы сертифицированные программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации.
Средства диагностики осуществляют тестирование файловой системы и баз ПДн, постоянный сбор ПДн о функционировании элементов подсистемы обеспечения безопасности ПДн.
Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае угрозы НСД, которая не может быть блокирована системой.
Средства сигнализации предназначены для предупреждения операторов при их обращении к защищаемым ПДн и для предупреждения администратора при обнаружении факта НСД к ПДн, искажении программных средств защиты, выходе или выводе из строя аппаратных средств защиты и о других фактах нарушения штатного режима функционирования ИСПДн.
Средства имитации моделируют работу с нарушителями при обнаружении попытки НСД к защищаемым ПДн или программным средствам. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях, и дезинформировать нарушителя о месте нахождения защищаемых ПДн.
7.4. Подсистема обеспечения целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи не принятого пакета.
7.5. Подсистема контроля отсутствия НДВ реализуется в большинстве случаев на базе систем управления базами данных, средств защиты ПДн, антивирусных средств защиты ПДн.
7.6. Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, применяются средства антивирусной защиты, обеспечивающие:
– обнаружение и (или) блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку ПДн, а также на ПДн;
– обнаружение и удаление неизвестных вирусов;
– обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске
При выборе средств антивирусной защиты необходимо учитывать следующие факторы:
– совместимость указанных средств со штатным программным обеспечением ИСПДн;
– степень снижения производительности функционирования ИСПДн по основному назначению;
– наличие средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора сети в ИСПДн;
– возможность оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления ПМВ;
– наличие подробной документации по эксплуатации средства антивирусной защиты;
возможность осуществления периодического тестирования или самотестирования средства антивирусной защиты;
– возможность наращивания состава средств защиты от ПМВ новыми дополнительными средствами без существенных ограничений работоспособности ИСПДн и «конфликта» с другими типами средств защиты ПДн.
Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от ПМВ должны быть включены в руководство администратора безопасности информации в ИСПДн.
7.7. Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами.
7.8. Подсистема анализа защищенности реализуется на основе использования средств тестирования (анализа защищенности) и контроля (аудита) безопасности ПДн.
О проекте
О подписке